Formbook Malware: ZIP Dosyaları ve Katmanlı Script Teknikleri ile Dağıtım
Formbook Malware Kampanyası: Çok Aşamalı Enfeksiyon Zinciri
Formbook malware kullanan yeni bir kampanya ortaya çıktı. Sadece çalıştırılabilir dosyaları değil, enfeksiyon zincirindeki her bileşeni analiz etmenin önemini vurguluyor.
ZIP Arketi ile Başlangıç
Enfeksiyon, ZIP arşivi eki içeren bir phishing e-postası ile başlıyor. ZIP dosyası, "Payment_confirmation_copy_30K__202512110937495663904650431.vbs" adlı tek bir script içeriyor.
Dosyanın obfuscated doğası ve düşük antivirüs tespit oranı (VirusTotal'te 65 motordan sadece 17'si tespit etti) tehdidin kaçış yeteneğini gösteriyor.
VBS Script Obfuscation Taktikleri
VBS dosyası, klasik anti-analiz hileleri ile başlıyor. Script, DateAdd ve Wscript.Sleep fonksiyonları kullanarak özel bir gecikme döngüsü ile açılıyor.
Bu 9 saniyelik gecikme, standart sleep fonksiyonunu şüpheli olarak işaretleyen tespit mekanizmalarını atlatmaya yardımcı oluyor.
Yüksek Düzeyde Obfuscated PowerShell
PowerShell scripti, obfuscation pattern'ini devam ettiriyor. İki fonksiyon merkezi: Microcoulomb ve Blokbogstavers65.
Microcoulomb fonksiyonu, girdisinden belirli karakterleri çıkararak string'leri yeniden oluşturuyor. Örneğin, "nET.wEBClIent" gibi kritik anahtar kelimeleri ortaya çıkarıyor.
Blokbogstavers65, Invoke-Expression'a giriş noktası olarak hizmet ediyor ve dinamik olarak oluşturulan kod segmentlerini çalıştırıyor.
Google Drive'dan Payload İndirme
Payload indirme mekanizması, bir dosyayı Google Drive'dan tekrar tekrar indirmeye çalışan bir döngüye kilitlenmiş durumda.
Elde edildiğinde, C:\Users\REM\AppData\Roaming\budene.con olarak depolanıyor. Bu dosyanın kodunun çözülmesi, obfuscation zincirini sürdüren başka bir PowerShell scripti ortaya çıkarıyor.
Process Injection ile Formbook
Son adım, process injection kullanıyor. Script, Formbook malware'ı enjekte ettiği msiexec.exe'yi başlatıyor.
Enjekte edilen binary (C:\Users\REM\AppData\Local\Temp\bin.exe), C2 sunucusu ile 216[.]250[.]252[.]227:7719 üzerinden iletişim kuruyor.
Savunma Önerileri
Meşru proseslerin ve bellek injection'ın kullanımı, malware'ın sessizce çalışmasını ve geleneksel endpoint savunmalarını atlatmasını sağlıyor.
Güvenlik analistleri, script'lerden PowerShell payload'lara ve son çalıştırılabilir dosyalara kadar tüm enfeksiyon zincirine reverse-engineering becerileri uygulamalı.
Kaynak: gbhackers.com
Yorumlar
0İlgili Makaleler
CISA, İran Destekli Saldırı Sonrası Endpoint Yönetim Sistemlerini Sertleştirmeyi Tavsiye Etti
CISA, Stryker'a yönelik Handala saldırısı sonrası BT liderlerini endpoint yönetim sistemlerini sertleştirmeye çağırdı. Phishing dirençli MFA ve çoklu yönetici onayı vurgulandı.
Ucuz KVM Cihazları Ağınıza Uzaktan Erişim Riski Getiriyor
Eclypsium araştırmacıları dört popüler düşük maliyetli KVM-over-IP cihazında dokuz zafiyet tespit etti. Kimlik doğrulama atlatmadan firmware manipülasyonuna kadar uzanan açıklar kritik risk oluşturuyor.
AI İkilemi: MCP Güvenliği Neden Yamalanamaz?
RSAC 2026'da sunulan araştırma, MCP'nin LLM ortamlarında yarattığı mimari güvenlik risklerini ortaya koyuyor. Yamalarla çözülemeyen bu sorunlar için yeni savunma stratejileri.
Ubiquiti UniFi'de Kritik Güvenlik Açığı: Hesap Ele Geçirmeye İzin Veriyor
Ubiquiti, UniFi Network uygulamasında CVSS 10.0 şiddetinde yol gezinme açığı ve CVSS 7.7 ayrıcalık yükseltme açığını yamaledi. Kullanıcılar 10.1.89 sürümüne güncellemeli.